[讨论]notepad的骚操作-茶余饭后-看雪-安全社区|安全招聘|kanxue.com

囧囧

2018-11-30 17:40

2972

在做文件微过滤驱动，关注创建文件的部分。

都知道，NtCreateFile 里 CreateDisposition 的多个参数，有文件不存在就创建的功能。

于是在pre操作里关注了这些参数，获取了文件相关信息，然后在post操作里，用WorkItem去处理。

其中，在 post 里，根据 Data->IoStatus.Information == FILE_CREATED 去判断到底是不是创建操作。

写完测了一下，OK可用，能区分打开与创建。

然后打开win7 x64 notepad，随便输入XXXX，保存一下，纳尼? 竟然出现两次创建消息，结果都是 FILE_CREATED！

难道撸了半天的代码有问题？~~__~_@

仔细调发现，一次是Create，一次是 Open_If，但结果都成功的 FILE_CREATED.

好吧，用procmon看了一下，在两次create操作之间，果然有个delete；

可是仅仅是输入保存为新文件，哪来的删除逻辑？略神奇。

收藏・0

免费・0

支持

最新回复 (3)
库尔雪币： 1264 活跃值： (1850) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 190 粉丝 3 关注私信	库尔 2 楼 2018-11-30 23:50 0
囧囧雪币： 284 活跃值： (3394) 能力值： ( LV5，RANK：75 ) 在线值：发帖 69 回帖 335 粉丝 13 关注私信	囧囧 3 楼可能是，总之在文件微过滤里看到两次新建，中间夹一次删除。 2018-12-3 15:30 0
cmputer 雪币： 1244 活跃值： (1267) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 90 粉丝 1 关注私信	cmputer 4 楼库尔你这IDA咋这么好看？能不能让我也用一下这个插件啊 2019-4-3 22:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

囧囧

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
库尔雪币： 1264 活跃值： (1850) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 190 粉丝 3 关注私信	库尔 2 楼 2018-11-30 23:50 0
囧囧雪币： 284 活跃值： (3394) 能力值： ( LV5，RANK：75 ) 在线值：发帖 69 回帖 335 粉丝 13 关注私信	囧囧 3 楼可能是，总之在文件微过滤里看到两次新建，中间夹一次删除。 2018-12-3 15:30 0
cmputer 雪币： 1244 活跃值： (1267) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 90 粉丝 1 关注私信	cmputer 4 楼库尔你这IDA咋这么好看？能不能让我也用一下这个插件啊 2019-4-3 22:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复